?

Log in

No account? Create an account

в гостях у хаски

интернет-провайдеры, телекоммуникации, домашние сети, слухи, скандалы, реклама, маркетинг

10.10.10.1
dobriy_samarit
10.10.10.1

Posted by Андрей Хаскин on 6 апр 2018, 18:10


Цископад
dobriy_samarit
Всем приятного пятничного вечера. У кого интернет работает.


=========
Из телеграма:

Прямо сейчас все адреса в интернете сканирует бот, который использует свежую уязвимость (https://embedi.com/blog/cisco-smart-install-remote-code-execution/) в Cisco IOS, позволяющую удалённо выполнить команду на устройстве Cisco.

photo_2018-04-06_21-24-28.jpg
Бот заходит на устройство и удаляет конфигурацию, записывая вместо неё файл с посланием

Масштабы трагедии огромные, отваливаются сегменты или даже целые провайдеры
Поэтому, если у вас только что выключился, либо в ближайшее время выключится интернет, с большой вероятностью, это произошло по этой причине.

Устройства Cisco, которые уязвимы к этой атаке:
Catalyst 4500 Supervisor Engines
Catalyst 3850 Series
Catalyst 3750 Series
Catalyst 3650 Series
Catalyst 3560 Series
Catalyst 2960 Series
Catalyst 2975 Series
IE 2000
IE 3000
IE 3010
IE 4000
IE 4010
IE 5000
SM-ES2 SKUs
SM-ES3 SKUs
NME-16ES-1G-P
SM-X-ES3 SKUs


-------------

А теперь давайте немного разберёмся, что же на самом деле происходит.

Итак, с год назад один ловкий парень заметил, что ежели собрать хитрый пакет и заслать его на порт 4786, то в коде Smart Install Client случается переполнение буфера, отчего целая серия девайсов под управлением Cisco IOS и Cisco IOS XE сдаётся без боя, отдаваясь любому желающему целиком и полностью.

Как заведено у ловких парней, он поделился данным наблюдением с не менее ловкими парнями на не самом безызвестном мероприятии. Коллеги по цеху оценили и даже выдали приз, и дальше начинается интересное. По условия мероприятия, общаться с вендором забота (и право) исключительно организаторов смотра юных талантов. Свято блюдя это право, они рассказали всю правду Cisco через каких-то жалких 4 месяца. Видимо никак не могли презентацию покрасивей нарисовать.

Ответственные товарищи в Cisco призадумались и очень попросили не публиковать деталей до 28 марта сего года.

И вот вся информация опубликована, и со всех сторон пошли репорты, что похоже следы использования этой прелести стали находить у себя и провайдеры всех мастей, и просто владельцы интересных инфраструктур.

Беда в том, что порт 4786 открыт по умолчанию и мало кто его закрывает специально. По первым прикидкам в сети около 8,5 миллионов устройств с торчащим 4786 наружу, из которых 250 тысяч имеют подтверждённую уязвимость.

Хочешь проверить насколько ты можешь спать спокойно? Забрось в сеть нечто вроде:
nmap -p T:4786 192.168.1.0/24

Сканирование удел лентяев? Тогда спроси у железа:

switch>show vstack config
Role: Client
Oper Mode: Enabled или Role: Client (SmartInstall enabled)

Ну а если хочешь сразу и наверняка, то скажи просто заклинание no vstack или чтобы наверняка, руби с плеча

ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any`